El bloqueo del sistema no tiene por qué ser una tarea grande o horrible que cause temor en los corazones más hastiados de los administradores de sistemas. No, no es intuitivo ni necesariamente trivial bloquear correctamente un servidor Linux, pero tampoco es física cuántica. En mi artículo anterior, Seguridad de Sysadmin:8 controles de bloqueo de Linux, cubrí ocho cambios esenciales que debe realizar en cada sistema Linux, independientemente de su función. En este artículo, cubro más controles del sistema que puede implementar rápidamente y sin costo alguno.
Estos controles se originan en una variedad de fuentes, como mi propia experiencia, DISA STIG y otros administradores de sistemas. Los controles enumerados aquí no están en un orden particular de importancia o gravedad.
Bandera
Ya sea que su sistema tenga una interfaz gráfica de usuario o no, debe crear un banner que se muestre al usuario al iniciar sesión. El banner debe advertir al usuario que el sistema está protegido por
Edite el /etc/issue para usuarios de consola y /etc/issue.net para los usuarios de la red. Asegúrese de proporcionar la ruta completa al archivo que está utilizando para el banner en /etc/ssh/sshd_config archivo de la siguiente manera:
Banner /etc/issue.net Puede usar cualquier archivo que desee, pero debe editar la ruta del Banner y apuntarlo al archivo que contiene su mensaje.
No, configurar un banner definitivamente no evitará que un atacante comprometa con éxito su sistema. Aún así, destruye el argumento de la defensa de que el atacante no sabía que el sistema era un sistema privado y protegido.
Cumplimiento de la complejidad de la contraseña
Refuerce la complejidad de la contraseña, para aquellos sistemas que todavía usan contraseñas, modificando los parámetros en el /etc/security/pwquality.con archivo (que se muestra a continuación). Este archivo contiene una lista de parámetros editables para aplicar contraseñas seguras a sus sistemas.
# Configuration for systemwide password quality limits
# Defaults:
#
# Number of characters in the new password that must not be present in the
# old password.
# difok = 5
#
# Minimum acceptable size for the new password (plus one if
# credits are not disabled which is the default). (See pam_cracklib manual.)
# Cannot be set to lower value than 6.
# minlen = 9
#
# The maximum credit for having digits in the new password. If less than 0
# it is the minimum number of digits in the new password.
# dcredit = 1
#
# The maximum credit for having uppercase characters in the new password.
# If less than 0 it is the minimum number of uppercase characters in the new
# password.
# ucredit = 1
#
# The maximum credit for having lowercase characters in the new password.
# If less than 0 it is the minimum number of lowercase characters in the new
# password.
# lcredit = 1
#
# The maximum credit for having other characters in the new password.
# If less than 0 it is the minimum number of other characters in the new
# password.
# ocredit = 1
#
# The minimum number of required classes of characters for the new
# password (digits, uppercase, lowercase, others).
# minclass = 0
#
# The maximum number of allowed consecutive same characters in the new password.
# The check is disabled if the value is 0.
# maxrepeat = 0
Los siguientes son los valores recomendados. Nota:asegúrese de descomentar la línea de parámetro para habilitar el valor obligatorio.
difok = 8
minlen = 15
dcredit = -1
ucredit = -1
lcredit = -1
ocredit = -1
minclass = 4
maxrepeat = 3
maxclassrepeat = 4
Estos parámetros ayudan a garantizar que las contraseñas del sistema sean mucho más seguras que las configuraciones predeterminadas. Se recomienda utilizar autenticación multifactor en lugar de contraseñas para mejorar la seguridad de acceso al sistema.
Nota:El minlen El parámetro (longitud mínima) debe establecerse en un valor de 15 o superior. Enseñe a los usuarios a usar frases de contraseña en lugar de intentar encontrar una sola palabra que cumpla con los criterios.
Vigencia mínima de la contraseña
Algunos usuarios inteligentes cambian sus contraseñas varias veces para eludir la seguridad del sistema. Cuando se ven obligados a actualizar sus contraseñas, cambian sus contraseñas las veces suficientes para superar la seguridad del sistema y finalmente restablecer su contraseña a la original. Los PASS_MIN_DAYS parámetro en /etc/login.defs El archivo puede evitar esta actividad. Establezca el valor en 1 o más. El valor predeterminado es 0, que es lo que causa el problema de seguridad.
PASS_MIN_DAYS 1 La configuración de este parámetro significa que el usuario debe conservar la nueva contraseña durante un mínimo de un día antes de volver a cambiarla. Puede establecer el valor en cualquier número que desee, pero evitar que el usuario cambie inmediatamente varias veces parece resolver el problema.
Vida útil máxima de la contraseña
Tal vez incluso más peligroso que la vida útil mínima de la contraseña es la configuración de vida útil máxima de la contraseña. El valor predeterminado es 99999, lo que significa que el usuario nunca tendrá que cambiar sus contraseñas. Esta es una violación de seguridad grave.
Según las políticas y las necesidades de seguridad de su empresa, debe aplicar los cambios de contraseña en el intervalo de 60 a 90 días. Para aplicar un cambio de este tipo en todo el sistema, edite el PASS_MAX_DAYS configuración en /etc/login.defs archivo.
PASS_MAX_DAYS 60
Esta configuración obliga a los usuarios a cambiar sus contraseñas cada 60 días. Sí, escuchará quejas, especialmente cuando se combina con PASS_MIN_DAYS restricción. La seguridad gana a las quejas de los usuarios.
Seguridad Sudoer
A menudo, los administradores de sistemas configuran sus cuentas de usuario para utilizar sudo Comando sin contraseña. Esta es una violación de seguridad grave y no debe permitirse bajo ninguna circunstancia en ningún sistema, independientemente de la función.
Edite el /etc/sudoers archivo con visudo y elimine todas las instancias de NOPASSWD en el archivo.
Además, busque instancias de "!autenticación" en /etc/sudoers expediente. Esta entrada permite a un usuario que tiene sudo acceso para continuar usando sudo sin re-autenticación. Esta es una violación de seguridad. Elimina todas las instancias de "!autenticación" de /etc/sudoers archivo.
Retraso de inicio de sesión fallido
Para ayudar a frustrar los ataques de fuerza bruta en las cuentas de los usuarios, debe configurar el retraso de falla de inicio de sesión en al menos 4 segundos. Esto disuade los ataques de fuerza bruta, pero también puede ayudar a los usuarios a ingresar la contraseña correcta, lo que se vuelve más difícil para contraseñas y frases de contraseña más largas.
Este parámetro se establece en el /etc/login.defs expediente. El número es la cantidad de segundos que el sistema se detiene antes de presentar un nuevo aviso de inicio de sesión después de un intento fallido de inicio de sesión.
FAIL_DELAY 4 Cuatro segundos es lo suficientemente corto como para no frustrar a los usuarios que podrían haber presionado la tecla incorrecta por accidente, pero lo suficientemente largo como para evitar intentos repetidos de inicio de sesión por parte de los bots.
Deshabilitar el montaje automático del dispositivo
El montaje automático de sistemas de archivos presenta riesgos de seguridad de dispositivos desconocidos que pueden estar conectados a un sistema. En otras palabras, un atacante podría conectar un dispositivo USB para entregar una carga útil cuando el dispositivo se monta automáticamente. Deshabilite el montaje automático deteniendo y deshabilitando autofs servicio.
$ sudo systemctl stop autofs
$ sudo systemctl disable autofs Puede que sea un poco menos conveniente tener que montar manualmente los sistemas de archivos después de conectar un nuevo dispositivo al sistema, pero el aumento de la seguridad compensa los tres segundos adicionales de trabajo necesarios para montar un dispositivo. Esto le permite al administrador del sistema la oportunidad de desactivar, borrar o expulsar un dispositivo no autorizado.
Restringir permisos de creación de archivos
Volvemos a /etc/login.defs archivo para hacer un cambio en todo el sistema. Cuando los usuarios crean nuevos archivos, normalmente reciben permisos de 644 como resultado de umask configuración de filtro de 022. Para mejorar la seguridad, todos los archivos nuevos deben crearse con un umask de 077, lo que da como resultado que los archivos nuevos tengan 600 como permisos predeterminados.
UMASK 077 Para la mayoría de los usuarios, puede que importe menos, pero para los archivos creados por root, esta configuración es obligatoria. Establecerlo en todo el sistema garantiza la coherencia.
Resumir
Mejorar la seguridad del sistema es una de las tareas principales del administrador del sistema. Los sistemas nuevos, los sistemas heredados y los sistemas que cumplen funciones de nicho son los más vulnerables de su red. Se debe tener especial cuidado para proteger cada sistema de red. A menudo, el compromiso de un sistema permite el compromiso de más porque ahora el atacante está dentro de la red y tiene el control de uno o más sistemas.
Algunos de estos controles de seguridad pueden parecer de mano dura, pero en comparación con la recuperación después de una infracción, es solo parte de la "normalidad" actual.
[ ¿Quiere obtener más información sobre seguridad? Consulte la lista de verificación de cumplimiento y seguridad de TI. ]